Weblog

door Lennard onder Business / LegalNews | 0 comments

NEN gebruikt CloudControls voor Nederlandse praktijkrichtlijn Cloud computing

De CloudControls, een richtlijn voor cloud computing en mede ontwikkeld door cloudprovider CloudVPS , dragen bij aan de ontwikkeling van de Nederlandse praktijkrichtlijn (NPR) 5317 ‘Cloud Computing’. Hier wordt aan gewerkt door NEN (het ‘Nederlands Normalisatie-instituut’). Volgens de normcommissie die zich bezig houdt met cloud computing vormen de risico’s en beheersmaatregelen (controls) van de CloudControls één van de basisconcepten  voor de eerste Nederlandse praktijkrichtlijn voor clouddiensten.

Om de markt voor cloud computing in beweging te brengen door het standaardiseren, eenduidig vastleggen van definities, en specificeren van kwaliteitseisen aangaande beschikbaarheid, integriteit en vertrouwelijkheid, is NEN gestart met de ontwikkeling van de Nederlandse praktijkrichtlijn (NPR) 5317 ‘Cloud computing’. Het ontwikkelen van NPR 5317 wordt uitgevoerd door een in 2012 opgerichte normcommissie. CloudVPS is lid van deze normcommissie en vanaf het eerste uur betrokken bij de ontwikkeling van NPR 5317.

“NEN nodigt partijen uit om hun ontwikkelde specificaties, zoals  CloudControls, die CloudVPS in eerste instantie samen met KPMG heeft ontwikkeld volgens formele regels te normaliseren. De structuur en het grootste gedeelte van de CloudControls-specificatie kan met tekstuele aanpassingen direct in het ontwerp worden overgenomen. NEN is voornemens om het ontwerp NPR 5317 Cloud computing in 2014 op te leveren voor commentaar. Nederland loopt doorgaans voorop op het gebied van normontwikkeling, waardoor wij vaak als voorbeeld worden genomen voor Europese en internationale normen, zoals de ontwikkeling van NPR 5313 ‘Computerruimtes en datacenters’ en NEN-EN 50600,” zegt Ton van Bergeijk NEN - standaardisatie consultant ICT.

Over de CloudControls

Lennard Zwart, CEO van CloudVPS, is de initiator van de CloudControls. Hij vond het de hoogste tijd voor een keurmerk zodat serieuze partijen sneller comfortabel kunnen worden met het uitbesteden naar de cloud. Zwart legt uit: ”De CloudControls zijn een serie controlemaatregelen om de specifieke risico’s te mitigeren die samenhangen met het uitbesteden naar een cloudinfrastructuur. Denk hierbij aan garanties aangaande de informatievoorziening naar de klant of maatregelen die het veilig delen van infrastructuur (multi-tenancy) mogelijk maken. De controls kunnen door cloud providers worden geïmplementeerd, waardoor klanten op een eenvoudige manier kunnen zien dat de potentiële risico’s gemitigeerd zijn.”

De algemene beveiliging van de cloudinfrastructuur valt buiten de scope van de CloudControls, deze kan door standaard IT security standaarden zoals ISO 27002 worden afgedekt. De CloudControls zijn dan ook ontworpen om naast een securitystandaard zoals ISO 27002 geïmplementeerd en ge-audit te worden.
De eerste stap bij het ontwikkelen van de CloudControls was een risico analyse. Hierbij zijn 61 cloud specifieke risico’s gedefinieerd. De 44 CloudControls dekken deze risico’s af. De controls en risico’s zijn nog in ontwikkeling en de CloudControls vormen dan ook een open standaard. CloudControls.org is een open community waarin iedereen feedback kan geven op de richtlijn.

Hieronder staan een aantal voorbeelden van controls genoemd:

  • Locatie en jurisdictie van data: De klant kan de jurisdictie bepalen waar zijn data wordt opgeslagen. Het zal  gecommuniceerd worden welke overheden en jurisdicties aanspraak kunnen maken op de data van een klant.
  • Delen van infrastructuur: Het risico van het falen van de isolatie in de virtualisatielaag en de storage wordt regelmatig beoordeeld en wordt tot een minimum beperkt.
  • Staken cloud provider dienstverlening: Er zal een systeem beschikbaar zijn om er voor te zorgen dat er toegang is tot data en activa in het geval de cloud provider onverwachts zijn activiteiten zou staken.
  • Vendor lock-in: Korte termijn contracten zijn mogelijk. Klantdata is exporteerbaar en transporteerbaar in een vorm die industrie-standaard is. Migraties naar andere cloud providers worden niet gehinderd.
CloudControls mede ontwikkeld door KPMG

Drs. Mike Chung RE, bij KPMG, vertelt over zijn betrokkenheid bij de ontwikkeling van de CloudControls: “Vanuit mijn positie bij de KPMG divisie ”IT-Audits”, merkte ik een aantal jaar terug dat cloud computing een enorme vlucht nam en er nog geen richtlijnen bestonden. Auditors hebben nu eenmaal richtlijnen nodig. Tijdens mijn zoektocht naar een cloudaanbieder met dezelfde ambitie als ik, kwam ik in aanraking met Lennard Zwart van CloudVPS. Het sprak mij erg aan dat CloudVPS  de eerste stap richting een keurmerk wilde zetten.”

Gemeente Den Haag gebruikt CloudControls

Sinds twee maanden maakt de gemeente Den Haag gebruik van de CloudControls bij IT-aanbestedingen. Gerard van Lieshout, concernadviseur bij gemeente Den Haag en plaatsvervangend security officer vertelt hierover: “Binnen de overheid is de cloud discussie in alle hevigheid losgebarsten en security en integriteit zijn zeer gevoelige onderwerpen. Met deze richtlijnen gaan we het weer hebben over de inhoud van cloud computing en niet over de emotie er omheen. Hiermee kunnen we afspraken vastleggen en afstemmen welke maatregelen we wanneer moeten nemen. Zodat wij als gemeente onze IT-infrastructuur juridisch kunnen verantwoorden en risico’s kunnen indekken.”

Visie van de consultant

Pieter Jansen van ICTree heeft CloudControls aangedragen en toegepast bij de gemeente Den Haag. Jansen merkte al enige tijd bij het beoordelen van cloudgerelateerde offertetrajecten dat hij steeds opnieuw het wiel moest uitvinden. “Sinds de CloudControls als basis voor het beoordelen van cloud providers wordt gebruikt, is mijn functie een stuk makkelijker geworden. Als leverancier moet je nu eenmaal aan bepaalde eisen voldoen. Nu de CloudControls onderdeel zullen worden van een de facto standaard, gaat men hopelijk dezelfde taal spreken en bijvoorbeeld dezelfde SLA’s hanteren. De openheid en elegantie van de CloudControls kunnen enorm helpen bij de opschaling van de hele industrie,” aldus Pieter Jansen, ICTree.

Over CloudVPS

CloudVPS loopt op cloudgebied in Nederland voorop. Het bedrijf werd in 2006 opgericht door een groepje pioniers dat software wilde maken om clusters van servers gemakkelijk aan te kunnen sturen. De zelfontwikkelde programmatuur bleek uitermate geschikt voor het aanbieden van clouddiensten en inmiddels bedient CloudVPS een imposante lijst bedrijven vanuit een netwerk dat over drie A-klasse datacentra is verspreid. CloudVPS heeft een grote public cloud waar flexibel capaciteit kan worden afgenomen. Daarnaast heeft het bedrijf een groot aantal private clouds en maatwerk clusters geïmplementeerd. CloudVPS loopt voorop met betrekking tot cloudgerelateerde certificering en open source cloud technieken zoals OpenStack.

Ondanks het behaalde succes rusten de mensen van CloudVPS niet op hun lauweren. Lennard Zwart, CEO van CloudVPS, heeft zichzelf tot missie gesteld de publieke cloud de basis van elke IT infrastructuur te maken. Cloud computing kan volgens hem net zo veilig zijn als de server in je eigen kelder en omdat CloudVPS zich aan strikte privacy richtlijnen houdt, zal data nooit zomaar met derden worden gedeeld.

Persinformatie

Wilt u meer informatie over de cloud diensten van CloudVPS of heeft u interesse in de opinie van CEO Lennard Zwart over de ontwikkelingen rondom flexibele en private clouds, privacy en OpenStack? Neemt u dan contact op met het PR-bureau van CloudVPS, Pride PR:

PR-contact

Karlijn Stoelinga
Tel: 071-5680028
@: cloudvps@pridepr.nl
www.pridepr.nl

 

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen